1.6万学7天速成黑客? “蚂蚁搬家”小钱变大钱
因为来钱快,所以很多无业的年轻人热衷在网上找资源学黑客技术,一些“黑客培训班”的授课内容几乎囊括了病毒、木马制作技术和各种网络攻击技术。国内一个很知名的漏洞查找网站也推出过黑客培训课程,7天的黑客速成班需要花费1.6万元。便宜的班一般200~500元不等,主要教授使用一些特定的技术或工具。
小G是完全不同于PW的小黑客,刚刚入行3年的他完全是抱着为赚钱的目的学习黑客技术,“我报过四五个班,前几个都是骗钱的,收了钱就给几个工具,告诉你怎么用,实际上,根本不算什么黑客技术。”
后来,小G在圈子里认识一个技术比较好的“师傅”,就介绍别的朋友交钱跟他学,如果“师傅”有“项目”要做也会在他们中间找人,一般这个圈子组织很严密,都是熟人介绍,不会接受网上贸然要求加入的新丁。
小G向记者透露,其实很多时候,黑客盗取支付账户钱财都是在“润物细无声”的情况下完成的,一般获得一些支付账户的信息后,有耐性的黑客会跟踪一段时间,观察账户使用者的消费习惯,如经常在网站消费,然后就会设置一个假冒消费记录后盗走账户的小额费用,一般是十几元或是几十元,这种“蚂蚁搬家”似盗款方式很难被事主发现,但是对黑客而言,积少成多,是一种不错的捞钱方式。
PW认为,像小G这样的小黑客应是现在黑产中的主流,真正顶尖的黑客多数还是来自于重点大学计算机或数学等相关专业,然后自己摸索技术,而这些小黑客很多都是文化水平不算高,学一些皮毛就进入黑产捞钱。
广东著名打假人士徐大江的另一个身份是中国红客联盟江苏站站长,2001年,他带领十几万黑客在“中美黑客大战”中鏖战了7天7夜,回忆当年,徐大江说,“当年的黑客都是些热血青年,更多的是在校学生和技术人员,大家都是研究技术,他们是黑产的主力军,学习技术的唯一目的就是牟利。”
泄露数据只是冰山一角 网络平台漏洞多
赛门铁客公司2013年发布了《诺顿安全报告2013》,根据他们进行的网络漏洞评估项目发现,77%的网站包含漏洞。去年中国受网络犯罪侵犯的人数达到1.64亿人次,直接经济损失达370亿美元,人均达到224美元。
根据国家互联网应急中心发布的《2013年我国互联网网络安全态势综述报告》,去年,安卓手机平台恶意程序数量呈爆发式增长,2013年新增移动互联网恶意程序样本达70.3万个,其中71.5%是恶意扣费类。2013年发现移动互联网恶意程序传播次数达1296万次,比去年增加了23倍。
在安全专家们看来,尽管黑客已经把触角已伸到网络各个角落,但网络普通用户却未真正重视过网络安全。陈三堰直言,相比于电子商务,网络安全发展可谓严重滞后,“很多企业一方面是为了节约成本,另一方面也是对安全领域缺乏了解。”
PW也负责帮助公司开发软件,一般来说如果进行安全防护的设置,软件开发的成本要增加20%左右,很多公司会觉得这部分成本没有实际效益,所以不愿意投入。陈三堰告诉记者,以代码审核为例,一个1万行代码的程序如果进行代码审核最起码需要50万元,“这部分投入看不到实际产出,很多公司都不愿意付出。”
“最可怕的是,一般人至今未有网络安全的危机感,他们照常在公共WiFi下收发邮件、网购,甚至登录网上银行,毫不担心自己的敏感信息会被黑客获得,遭遇经济损失还蒙在鼓里。”陈三堰表示,随着国家把网络安全上升到国家安全的高度,已经有越来越多政府部门和大企业开始着手解决网络安全问题,但是,让更多每日和网络接触的普通人意识到网络安全的重要性仍然任重而道远。
公共WiFi个人信息泄露 网络安全意识薄弱
今年4月9日,一个名为Heart bleed(意为“心脏出血”)的重大安全漏洞被曝光,一位安全行业人士在知乎网站上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
陈三堰直言,这些数据的曝光不过是黑客们掌握的“社工库”(每次入侵得手的数据集聚起来形成的大数据库)的冰山一角。更大的危机在于,六成以上网站可能都存在漏洞,你根本无法知道黑客们到底掌握了多少大数据库。
在PW看来,黑客遵循的原则就是“悄悄地进村,打枪的不要”。在抓住漏洞,进入后门,获得敏感信息后,一定会注意隐藏行踪不被发现。
“敏感信息一般掌握在顶尖的人手里,20%的黑客掌握了绝大多数社工库信息,有些黑客进入了一些经济利用价值高的网站,可能还会把补丁补上,避免其他黑客获得敏感信息。他们有时也会互相交换,但很少会公布出来,所以很多敏感漏洞被发现时,可能已存在一两年,很多黑客早已利用这些信息获利,因此网络警察追凶也并不容易。”
1999年就进入黑客领域的陈三堰是知名黑客网站“第八军团”的领军人,2004年,他转型进入网络安全领域,开创了网络安全维护的易城信息技术,继续以白帽黑客的身份与黑客们斗智斗勇。“2011年,我当时在一个黑客圈子里就看到一个社工库,当时这个压缩文件已经有40G大小,积累到近几天估计已成倍增长。随着云技术的普及,这种大数据库泄露的安全形势将会越来越严峻。”
“有了这些社工库,要破解人们的密码易如反掌。”PW以QQ密码为例,只要你在社工库内输入QQ号,就可以直接查到这个号码是否曾经泄露过,如果有,获取密码就非常简单。
电子支付平台实际漏洞也非常多,PW最近曾帮一家电子支付平台查找漏洞,随便查一下就有4个漏洞,“国内很多公司在开发软件平台的时候还没有什么安全意识,大部分网络平台都有漏洞,而这些漏洞造成的信息泄露都会被社工库收录,掌握社工库的人如果愿意,可以直接获取所有用户的信息,可以改变支付账号,让用户把买彩票的钱直接打到他们的账户上,甚至可以不花钱下订单。这对顶尖黑客来说,完全不是难事,做与不做全凭良心。”